商娟葉，劉 靜

（1.西安外事學(xué)院 陜西 西安 710077；2.西安廣播電視大學(xué) 陜西 西安 710002）

當(dāng)今社會(huì)，科技突飛猛進(jìn)，網(wǎng)絡(luò)技術(shù)隨之不斷發(fā)展和完善，我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過(guò)計(jì)算機(jī)系統(tǒng)來(lái)存儲(chǔ)和處理，伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)傳送、接收和處理的信息量越來(lái)越大。維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全，越來(lái)越成為人們焦慮的問(wèn)題，而防火墻無(wú)疑是解決這一問(wèn)題最主要、最核心、最有效的手段之一。

1 防火墻的概念及作用

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，防火墻的作用是防止非法通信和未經(jīng)過(guò)授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)。防火墻的任務(wù)就是從各種端口中辨別從外部不安全網(wǎng)絡(luò)發(fā)送到內(nèi)部安全網(wǎng)絡(luò)中的數(shù)據(jù)是否有害，并盡可能地將有害數(shù)據(jù)丟棄，從而達(dá)到初步的網(wǎng)絡(luò)系統(tǒng)安全保障。它還要在計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)受到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。

2 防火墻的基本類型[1]

如今市場(chǎng)上的防火墻有以軟件形式運(yùn)行在普通計(jì)算機(jī)之上的，也有以固件形式設(shè)計(jì)在路由器之中的?？偟膩?lái)說(shuō)可以分為3種：包過(guò)濾防火墻、代理服務(wù)器和狀態(tài)監(jiān)視器。

1） 包過(guò)濾防火墻 （IP Filting Firewall） 包過(guò)濾（Packet Filter）是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯，檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用端口確定是否允許該類數(shù)據(jù)包通過(guò)。

2）代理服務(wù)器（ProxyServer） 代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用。代理服務(wù)器通常擁有高速緩存，緩存中存有用戶經(jīng)常訪問(wèn)站點(diǎn)的內(nèi)容，在下一個(gè)用戶要訪問(wèn)同樣的站點(diǎn)時(shí)，服務(wù)器就不用重復(fù)地去訪問(wèn)同樣的內(nèi)容，既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。

3）狀態(tài)監(jiān)視技術(shù)（Stateful Inspection） 狀態(tài)監(jiān)視技術(shù)在保留了對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析的基礎(chǔ)上，進(jìn)一步發(fā)展了“會(huì)話過(guò)濾”（Session Filtering）功能。在每個(gè)連接建立時(shí)，防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)，里面包含了這個(gè)連接數(shù)據(jù)包的所有信息，以后這個(gè)連接都基于這個(gè)狀態(tài)信息進(jìn)行。

3 防火墻的選擇

防火墻為網(wǎng)絡(luò)安全起到了把關(guān)作用，它是兩個(gè)網(wǎng)絡(luò)之間的成分集合。一個(gè)好的防火墻應(yīng)具有以下屬性：所有的信息都必須通過(guò)防火墻；只有在受保護(hù)網(wǎng)絡(luò)的安全策略中允許的通信才允許通過(guò)防火墻；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和報(bào)警；防火墻本身對(duì)各種攻擊免疫。

一個(gè)優(yōu)秀的網(wǎng)絡(luò)安全保障系統(tǒng)必須建立在對(duì)網(wǎng)絡(luò)安全需求與環(huán)境的客觀分析評(píng)估基礎(chǔ)上，在網(wǎng)絡(luò)的應(yīng)用性能及價(jià)格和安全保障需求之間確定一個(gè)“最佳平衡點(diǎn)”，使得網(wǎng)絡(luò)安全保障引入的額外開(kāi)銷與它所帶來(lái)的效益相當(dāng)。

3.1 網(wǎng)絡(luò)安全體系設(shè)計(jì)原則[2]

3.1.1 安全性與便捷

一般來(lái)說(shuō)，網(wǎng)絡(luò)使用的方便性會(huì)因采用了網(wǎng)絡(luò)安全措施而降低。防火墻無(wú)論從安裝、配置到策略調(diào)整都在同一個(gè)GUI界面下完成，管理十分方便快捷，網(wǎng)絡(luò)管理員的額外工作強(qiáng)度很小。此外，防火墻內(nèi)外網(wǎng)卡透明設(shè)置也極大地方便了內(nèi)部用戶，內(nèi)部工作站（包括服務(wù)器）不必增加任何額外的配置。在安全專家的指導(dǎo)下，建立統(tǒng)一安全制度，消滅一般由于系統(tǒng)配置不當(dāng)造成的明顯安全漏洞。

3.1.2 安全性與性能

對(duì)網(wǎng)絡(luò)來(lái)說(shuō)，安全措施是靠網(wǎng)絡(luò)資源來(lái)完成的，它或者是占用主機(jī)CPU和內(nèi)存，或者是占用網(wǎng)絡(luò)帶寬，或者是增加信息處理的過(guò)程，所有這些都可以導(dǎo)致整體性能降低防火墻擁有獨(dú)特的狀態(tài)包過(guò)濾技術(shù)，在安全性和速度之間可以自動(dòng)找到理想的平衡點(diǎn)。

3.1.3 安全性與成本

采用網(wǎng)絡(luò)安全措施或建立網(wǎng)絡(luò)安全系統(tǒng)都會(huì)增加額外的成本，這里包括購(gòu)買硬件、軟件的花費(fèi)，系統(tǒng)設(shè)計(jì)和實(shí)施費(fèi)用，管理和維護(hù)安全系統(tǒng)的費(fèi)用。比如利用軟件來(lái)實(shí)現(xiàn)安全，例如軟件型的防火墻，使用費(fèi)用比較低廉的共享版本或者免費(fèi)版本的軟件。還可以聘請(qǐng)較有經(jīng)驗(yàn)的國(guó)內(nèi)專業(yè)安全公司制定企業(yè)內(nèi)部網(wǎng)的規(guī)劃，同時(shí)系統(tǒng)的安全性維護(hù)主要由內(nèi)部技術(shù)人員兼職完成。

3.1.4 安全性與可擴(kuò)展性

一套相對(duì)安全的安全系統(tǒng)并不意味著永遠(yuǎn)保持“相對(duì)的安全性”，這就要求原先的系統(tǒng)具有良好的可擴(kuò)展性。

3.2 產(chǎn)品選擇型號(hào)的原則

在進(jìn)行防火墻產(chǎn)品選擇型號(hào)時(shí)，除了必須遵循網(wǎng)絡(luò)安全體系設(shè)計(jì)原則外，還要求防火墻應(yīng)包含以下功能[3]：1）訪問(wèn)控制，通過(guò)對(duì)特定網(wǎng)段和特定服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊在到達(dá)攻擊目標(biāo)之前阻止；2）攻擊監(jiān)控，通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)地檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）；3）加密通信，主動(dòng)的加密通信，可使攻擊者不能了解、修改敏感信息；4）身份認(rèn)證，良好的認(rèn)證體系可防止攻擊者假冒合法用戶；5）多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)；6）隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況；7）安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護(hù)及緊急情況服務(wù)。

在實(shí)際的網(wǎng)絡(luò)中，保障網(wǎng)絡(luò)安全與提供高效靈活的網(wǎng)絡(luò)服務(wù)是矛盾的。從網(wǎng)絡(luò)服務(wù)的可用性、靈活性和網(wǎng)絡(luò)性能考慮，網(wǎng)絡(luò)結(jié)構(gòu)和技術(shù)實(shí)現(xiàn)應(yīng)該盡可能簡(jiǎn)捷，不引入額外的控制因素和資源開(kāi)銷。但從網(wǎng)絡(luò)安全保障考慮，則要求對(duì)網(wǎng)絡(luò)系統(tǒng)提供服務(wù)的種類、時(shí)間、對(duì)象、地點(diǎn)甚至內(nèi)容有盡可能多的了解和控制能力，實(shí)現(xiàn)這樣附加的安全功能不可避免地要耗費(fèi)有限的網(wǎng)絡(luò)資源或限制網(wǎng)絡(luò)資源的使用，從而對(duì)網(wǎng)絡(luò)系統(tǒng)的性能、服務(wù)的使用方式和范圍產(chǎn)生顯著影響。此外，保障網(wǎng)絡(luò)安全常常還涉及到額外的硬件、軟件投入及網(wǎng)絡(luò)運(yùn)行管理中的額外投入，由此可見(jiàn)，保障網(wǎng)絡(luò)的安全是有代價(jià)的。對(duì)安全性的追求可以是無(wú)限的，但費(fèi)用也會(huì)隨之增長(zhǎng)。

4 防火墻架構(gòu)

一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器主要用來(lái)防止IP欺騙攻擊，其最大優(yōu)點(diǎn)就是架構(gòu)簡(jiǎn)單且硬件成本較低，而缺點(diǎn)則是建立包過(guò)濾規(guī)則比較困難，以及屏蔽路由器的管理成本及用戶級(jí)身份認(rèn)證的缺乏等。路由器生產(chǎn)商們已經(jīng)開(kāi)始開(kāi)發(fā)編輯包過(guò)濾規(guī)則的圖形用戶界面，制訂標(biāo)準(zhǔn)的用戶級(jí)身份認(rèn)證協(xié)議，供遠(yuǎn)程用戶身份認(rèn)證撥入。代理服務(wù)器可以識(shí)別并屏蔽非法的請(qǐng)求，其最大優(yōu)點(diǎn)在于用戶級(jí)的身份認(rèn)證、日志記錄和帳號(hào)管理容易實(shí)現(xiàn)。而缺點(diǎn)是要想提供全面的安全保證，就要對(duì)每一項(xiàng)服務(wù)都建立對(duì)應(yīng)的應(yīng)用層網(wǎng)關(guān)，這很難被應(yīng)用采納。

防火墻是監(jiān)測(cè)并過(guò)濾所有通向外部網(wǎng)和從外部網(wǎng)傳來(lái)的信息，防火墻保護(hù)著內(nèi)部敏感的數(shù)據(jù)不被偷竊和破壞，并記下通信發(fā)生的時(shí)間和操作等，新一代的防火墻甚至可以阻止內(nèi)部人員故意將敏感數(shù)據(jù)傳輸?shù)酵饨纭⒕植烤W(wǎng)絡(luò)放置防火墻之后可以阻止來(lái)自外界的攻擊。

建立一個(gè)可靠的規(guī)則集，搭建安全體系結(jié)構(gòu)是防火墻成功的關(guān)鍵步驟，這還離不開(kāi)規(guī)則集中的每條規(guī)則的落實(shí)。要重點(diǎn)把握以下幾點(diǎn)[4]：切斷默認(rèn)防火墻的不必要的服務(wù)；允許內(nèi)部網(wǎng)絡(luò)的任何人出網(wǎng)，與安全策略中所規(guī)定的一樣，所有的服務(wù)都被許可；添加鎖定規(guī)則，阻塞對(duì)防火墻的任何訪問(wèn)，這是所有規(guī)則集都應(yīng)有的一條標(biāo)準(zhǔn)規(guī)則，除了防火墻管理員，任何人都不能訪問(wèn)防火墻；丟棄不匹配的數(shù)據(jù)包并不記錄；允許Internet用戶訪問(wèn)DNS服務(wù)器；允許Internet和內(nèi)網(wǎng)用戶通過(guò)SMTP（簡(jiǎn)單郵件傳遞協(xié)議）訪問(wèn)郵件服務(wù)器；允許Internet和內(nèi)網(wǎng)用戶通過(guò)HTTP訪問(wèn)Web服務(wù)器；阻塞內(nèi)網(wǎng)用戶公開(kāi)訪問(wèn)DMZ；允許內(nèi)部的POP訪問(wèn)；只要有從DMZ到內(nèi)網(wǎng)用戶的通話，它就會(huì)發(fā)出拒絕、做記錄并發(fā)出警告；允許管理員（受限于特殊的資源IP）以加密方式訪問(wèn)內(nèi)部網(wǎng)絡(luò)；只要有可能，就把最常用的規(guī)則移到規(guī)則集的頂端。防火墻只分析較少數(shù)的規(guī)則，這樣能提高防火墻性能。

5 防火墻方案具體實(shí)現(xiàn)

5.1 部署外部防火墻

設(shè)置外部防火墻可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的有效隔離，可有效防范外部網(wǎng)絡(luò)的攻擊。外部防火墻可以制定訪問(wèn)策略，只有被授權(quán)的外部主機(jī)可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)有限的IP地址，保證外部網(wǎng)絡(luò)只能訪問(wèn)內(nèi)部網(wǎng)絡(luò)中必要的資源，與業(yè)務(wù)無(wú)關(guān)的操作將被拒絕。外部防火墻可以進(jìn)行地址轉(zhuǎn)換工作，外部網(wǎng)絡(luò)不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客攻擊失去目標(biāo)[5]。

設(shè)置外部防火墻的正確位置應(yīng)該在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)被完全隔離開(kāi)，所有來(lái)自外部網(wǎng)絡(luò)的服務(wù)請(qǐng)求只能到達(dá)防火墻，防火墻對(duì)收到的數(shù)據(jù)包進(jìn)行分析后將合法的請(qǐng)求傳送給相應(yīng)的服務(wù)主機(jī)，對(duì)于非法訪問(wèn)加以拒絕。內(nèi)部網(wǎng)絡(luò)的情況對(duì)于外部網(wǎng)絡(luò)的用戶來(lái)說(shuō)是完全不可見(jiàn)的。由于防火墻是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通信信道，因此防火墻可以對(duì)所有針對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)進(jìn)行詳細(xì)的記錄，形成完整的日志文件。防火墻要保護(hù)的網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)該只有唯一的連接通路，如果防火墻后還有其他通路，防火墻將被短路，無(wú)法完成保護(hù)內(nèi)部網(wǎng)絡(luò)的工作。如果內(nèi)部網(wǎng)絡(luò)有多個(gè)外部連接，就應(yīng)該在每個(gè)入口處都放置防火墻。部署外部防火墻如圖1所示。

圖1 外部防火墻部署圖

5.2 部署內(nèi)部防火墻

在服務(wù)器的入口處設(shè)置內(nèi)部防火墻，可以制定完善的安全策略，有效地控制內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。內(nèi)部防火墻可以精確制定每個(gè)用戶的訪問(wèn)權(quán)限，保證內(nèi)部網(wǎng)絡(luò)用戶只能訪問(wèn)必要的資源，對(duì)于撥號(hào)備份線路的連接，通過(guò)強(qiáng)大的認(rèn)證功能，實(shí)現(xiàn)對(duì)遠(yuǎn)程用戶的管理。內(nèi)部防火墻可以記錄網(wǎng)段間的訪問(wèn)信息，及時(shí)發(fā)現(xiàn)誤操作和來(lái)自內(nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為防火墻通過(guò)安全策略的集中管理，每個(gè)網(wǎng)段上的主機(jī)不必再單獨(dú)設(shè)立安全策略，降低人為因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題[6]。內(nèi)部防火墻部署如圖2所示。

圖2 內(nèi)部防火墻部署圖

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置防火墻后，一方面可以有效地防范來(lái)自外部網(wǎng)絡(luò)的攻擊行為，另一方面可以為內(nèi)部網(wǎng)絡(luò)制定完善的安全訪問(wèn)策略，從而使得整個(gè)網(wǎng)絡(luò)具有較高的安全級(jí)別。

6 結(jié)束語(yǔ)

防火墻的核心思想是在不安全的網(wǎng)際環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。通過(guò)防火墻概念、作用、基本類型及架構(gòu)的介紹，重點(diǎn)分析如何選擇防火墻、組織架構(gòu)防火墻，解決防火墻在網(wǎng)絡(luò)中的具體實(shí)現(xiàn)。正因?yàn)榉阑饓Σ皇侨f(wàn)能的，所以一定要克服那種“有了防火墻就可以高枕無(wú)憂”的麻痹思想和僥幸心理，要高度重視計(jì)算機(jī)網(wǎng)絡(luò)的信息安全，扎扎實(shí)實(shí)落實(shí)安全措施與各項(xiàng)安全制度要求，并不斷豐富完善計(jì)算機(jī)網(wǎng)絡(luò)安全的各種技術(shù)措施，共同建立一個(gè)有效的網(wǎng)絡(luò)安全防護(hù)體系。

[1]閻慧，王偉，寧宇鵬，等.防火墻原理與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2005.

[2]畢曉東.基于防火墻的網(wǎng)絡(luò)安全技術(shù)初探[J].山東省農(nóng)業(yè)管理干部學(xué)院學(xué)報(bào)，2007，23（2）：175-176.

[3]卡拉西克-亨姆.防火墻核心技術(shù)精解[M].北京：中國(guó)水利水電出版社，2005.

[4]阮燦華.基于防火墻的網(wǎng)絡(luò)安全技術(shù) [J].福建電腦，2006（6）：48-49.

[5]劉益洪，陳林.基于防火墻的網(wǎng)絡(luò)安全技術(shù)分析[J].通信技術(shù)，2008，06（41）：136-138.

[6]張連根.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊，2007（9）：188-190.